VLAN：Virtual Local Area Network，即"虛擬局域網"；vlan主要是為了解決隨著網絡中終端的數量越來越多，面臨的沖突、廣播、以及安全性問題越來越多。通過vlan將一個物理局域網在邏輯上劃分成不同的廣播域，從而實現同一個vlan內主機可以互相通信，不同vlan的主機在二層上是相互隔離的，這樣就達到了隔離廣播域，將廣播的風險控制在個別vlan里不會對全網造成影響，進而提升了網絡的安全性。同樣例如ARP、DHCP等廣播類的請求效也被限定在vlan內，進而提升了網絡性能。

一、VLAN實現機制

在一臺沒有配置VLAN的二層交換機上，根據廣播的轉發規則，任何廣播幀都會轉發到除了接收端口以外的所有其他端口。如下圖，A發送廣播信息后，會被交換機轉發給2、3、4端口。

如果將端口1、2劃到一個vlan，3、4劃分到另一個vlan，這時候A發出的廣播幀只會在端口2進行轉發，C發出的廣播幀只會在端口4進行轉發，不同vlan的端口不會收到跨vlan的廣播幀，兩個vlan之間形成隔離域。在實際配置使用中就是通過vlan ID來區分不同的vlan；

二、端口類型

基于端口劃分VLAN是最簡單有效的一種方式，在端口轉發報文時，根據對vlan tag的處理，將端口劃分為三種類型：Access、Trunk和Hybrid。下面介紹下不同端口對報文處理的區別

1、ACCESS端口：

端口只發送一個vlan的報文，發出去的報文會去掉vlan tag標簽，一般用于和不需要tag的終端連接。

2、Trunk端口：

可以發送多個vlan的報文，發送的缺省vlan的報文不帶tag，其他的vlan的報文都會帶相應的tag。通常在網絡設備之間互聯使用。

3、Hybrid端口：

跟Trunk一樣，也可以發送多個vlan的報文，區別是可以配置某些vlan的報文帶tag，某些vlan的報文不帶tag，有這種需求的場景可以使用Hybrid端口。

一般Access和Trunk就滿足大多數場景使用了。

三、實驗舉例

SW1和SW2之間使用Trunk鏈路互聯，PC1和PC3在同一個vlan可以互相通信，PC2和PC4在同一個vlan可以互相通信，不同vlan之間的設備二層隔離，不能互相通信；

1、在SW1上配置VLAN10和VLAN20，并將PC1和PC2的端口分別加入vlan10和vlan20

system-view

System View: return to User View with Ctrl+Z.

[H3C]vlan 10 20

[H3C]interface GigabitEthernet 1/0/2

[H3C-GigabitEthernet1/0/2]port access vlan 10

[H3C]interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3]port access vlan 20

2、SW1上將互聯端口配置為Trunk端口，并放行vlan10和vlan20；

[H3C]int GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]port link-type trunk

[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20

[H3C-GigabitEthernet1/0/1]undo port trunk permit vlan 1

3、同上在SW2上配置vlan10和vlan20，并將PC3和PC4的端口分別加入vlan10和vlan20；

system-view

System View: return to User View with Ctrl+Z.

[H3C]vlan 10 20

[H3C]int g 1/0/2

[H3C-GigabitEthernet1/0/2]port access vlan 10

[H3C]interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3]port access vlan 20

4、SW2上將互聯端口配置為Trunk端口，并放行vlan10和vlan20；

[H3C]int GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]port link-type trunk

[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20

[H3C-GigabitEthernet1/0/1]undo port trunk permit vlan 1

5、配置PC1和PC3，分別將網卡IP配置為10.1.1.1和10.1.1.2，將PC2和PC4網卡分別配置為20.1.1.1和20.1.1.2；

PC1

PC2

PC3

PC4

6、結果測試

PC1 ping PC2，不可達；

PC1 ping PC3，可達；

PC2 ping PC3，不可達；

PC2 ping PC4，可達；

6、查看配置

分別查看vlan10和vlan20配置信息；

[H3C]display vlan 10

[H3C]display vlan 20

查看mac信息SW1可以看到4個Mac地址分別是sw1上兩個PC（一個vlan10下的，一個vlan20下的）的以及兩個從1口學過來的，是對端交換機下的兩個PC的Mac；